謹防這種針對 Windows PC 的新 Tycoon 勒索軟件
2分鐘讀
發表於
FBI 互聯網犯罪投訴中心(IC3)去年發布了《互聯網犯罪報告》。 該報告顯示,網絡犯罪在 3.5 年造成了 2.7 億美元(2019 億英鎊)的巨額損失。攻擊者使用勒索軟件從企業和個人用戶那裡獲取資金。 黑莓的安全研究部門最近發現了一種影響歐洲教育機構的新勒索軟件。 與迄今為止發現的大多數勒索軟件不同,這個新的勒索軟件模塊被編譯成 Java 圖像文件格式 (JIMAGE)。 JIMAGE 是一種存儲自定義 JRE 圖像的文件格式,旨在供 Java 虛擬機 (JVM) 在運行時使用。
以下是攻擊的發生方式:
- 為了在受害者的機器上實現持久性,攻擊者使用了一種稱為圖像文件執行選項 (IFEO) 注入的技術。 IFEO 設置存儲在 Windows 註冊表中。 這些設置使開發人員可以選擇在目標應用程序執行期間通過調試應用程序的附件來調試他們的軟件。
- 隨後,一個後門程序與操作系統的 Microsoft Windows 屏幕鍵盤 (OSK) 功能一起執行。
- 攻擊者使用 ProcessHacker 實用程序禁用了該組織的反惡意軟件解決方案,並更改了 Active Directory 服務器的密碼。 這使受害者無法訪問他們的系統。
- 大多數攻擊者文件都帶有時間戳,包括 Java 庫和執行腳本,文件日期時間戳為 11 年 2020 月 15 日 16:22:XNUMX
- 最後,攻擊者執行 Java 勒索軟件模塊,加密所有文件服務器,包括連接到網絡的備份系統。
提取與勒索軟件相關的zip文件後,以“tycoon”的名義存在三個模塊。 因此,黑莓團隊將此勒索軟件命名為大亨。 查看下面大亨的贖金記錄。
您可以從下面的鏈接中找到有關此勒索軟件的更多詳細信息。
資源: 黑莓